Proveedor de seguridad WS-Federation en Jitterbit App Builder
El proveedor de seguridad WS-Federation habilita la autenticación de inicio de sesión único (SSO) con Proveedores de Identidad (IdPs) compatibles con WS-Federation, incluyendo Microsoft Entra ID y Servicios de Federación de Active Directory (AD FS). Información adicional sobre WS-Federation está disponible en los siguientes documentos:
Configuración
Tokens
- Audiencia: Restricción de audiencia. Aunque el estándar requiere una URI sintácticamente válida, App Builder aceptará valores no URI para integrarse con implementaciones no conformes. Por defecto, es el ID de Entidad.
- Destinatario: URL de respuesta de Ws-Federation (Wreply). Por defecto, es la URL actual. Ver Wreply Endpoint a continuación.
- ID de Entidad: URI del ámbito de seguridad WS-Federation (Wtrealm). En Microsoft Azure, esto se refiere como el ID de la Aplicación. En AD FS, esto se refiere como el Identificador. Requerido.
Advertencia
En versiones anteriores de App Builder, el ID de Entidad por defecto era la URL raíz de la aplicación (por ejemplo, https://example.com/Vinyl/). Ahora se requiere el ID de Entidad.
Puntos finales
| Tipo | Descripción |
|---|---|
| Endpoint de Metadatos | URL de metadatos de WS-Federation, por ejemplo, https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml. Requerido. |
Propiedades
El proveedor de seguridad WS-Federation define los siguientes parámetros:
| Parámetro | Por defecto | Descripción |
|---|---|---|
| IgnorarErroresTls | Falso | Indica si App Builder debe ignorar errores de TLS al conectarse a la URL de metadatos de WS-Federation. Esto solo debe usarse para desarrollo y pruebas. |
| DesviaciónDelReloj | 5 | Número máximo de minutos permitidos para relojes de servidor fuera de sincronización al validar la afirmación SAML. |
| RegistrarPII | Falso | Indica que la información de identificación personal (PII) debe ser registrada. Esta configuración entra en efecto al iniciar. |
Claims
WS-Federation es fundamentalmente un protocolo de autenticación basado en reclamos. El proveedor de seguridad WS-Federation reconoce los siguientes reclamos:
| Identificador | Propósito | Descripción |
|---|---|---|
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier | Identificador de Nombre | Identificador único e inmutable utilizado para mapear la identidad de terceros a un usuario de App Builder. |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name | Nombre | Nombre de usuario. |
| http://schemas.xmlsoap.org/claims/Group | Grupo | Membresía en grupo de seguridad. |
| http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid | Grupo | Membresía en grupo de seguridad. |
| http://schemas.microsoft.com/ws/2008/06/identity/claims/groups | Grupo | Membresía en grupo de seguridad. |
| http://schemas.zudy.com/identity/claims/fullname | Nombre Completo | Nombre completo. |
| http://schemas.zudy.com/identity/claims/displayname | Nombre para Mostrar | Nombre amigable. |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | Dirección de Correo Electrónico | Dirección de correo electrónico. |
| http://schemas.zudy.com/identity/claims/phonenumber | Número de Teléfono | Número de teléfono. |
Integración
Endpoint Wreply
El proveedor de seguridad WS-Federation expone un único endpoint que escucha solicitudes HTTP que llevan un token de seguridad. La dirección tiene la siguiente forma:
https://example.com/Vinyl/signin-WSFederation
La URL se compone de las siguientes partes:
| Componente | Descripción |
|---|---|
| https://example.com/Vinyl/ | URL absoluta al directorio raíz de la aplicación App Builder. |
| WSFederation | Nombre del proveedor de seguridad Ws-Federation codificado en URL. El valor es sensible a mayúsculas y minúsculas. |
Problemas conocidos y limitaciones
El proveedor de seguridad WS-Federation de App Builder tiene las siguientes limitaciones:
- Solo se puede validar una restricción de audiencia.
- El protocolo de cierre de sesión no es compatible.