Descripción general de seguridad para Jitterbit App Builder
Descripción general
App Builder promueve el desarrollo rápido de aplicaciones seguras, además de su capacidad de despliegue rápida en un ambiente seguro. Las funciones de seguridad nativas y las opciones de configuración disponibles en la plataforma App Builder permiten a los desarrolladores configurar y proteger sus aplicaciones.
App Builder admite las siguientes opciones de seguridad:
HTTPS
App Builder exige HTTPS. Cuando HTTPS está habilitado, las cookies se configuran con el indicador "Seguro". Esto evita que el navegador transmita la cookie a través de un canal HTTP no seguro. Las cookies se configuran con el indicador "HttpOnly" de forma predeterminada. Este indicador mitiga los ataques de secuencias de comandos entre sitios (XSS).
Proveedor de inicio de sesión único (SSO)
App Builder recomienda delegar la autenticación a un proveedor de inicio de sesión único (SSO). App Builder es compatible con varios estándares del sector, como SAML SSO y WS-Federation. Estos utilizan la especificación de firma digital PKCS #1 con resúmenes SHA-256.
Autenticación basada en reclamaciones
Los proveedores de autenticación de usuarios transfieren notificaciones a App Builder. Los administradores de seguridad asignan las notificaciones a los atributos del usuario, incluida la pertenencia a grupos. Documentación:
Autenticación local y configuración de contraseña
App Builder también admite un mecanismo de autenticación local basado en contraseña. El almacenamiento de contraseñas se documenta en la siguiente página:
- Proveedor de seguridad - usuario local en resumen, las contraseñas se almacenan mediante la función de derivación de claves PBKDF2 con el algoritmo hash SHA-256, una longitud de clave de 16 bytes, una longitud de sal de 16 bytes y 10 000 iteraciones.
El proveedor de autenticación local admite las siguientes funciones de seguridad:
Tokens de seguridad y cifrado de datos
App Builder cifra y valida tokens de seguridad, como las cookies de sesión. Además, App Builder las credenciales del servidor y del proveedor de seguridad (contraseñas). El cifrado proporciona confidencialidad, validación y autenticidad (también conocido como protección contra manipulaciones). App Builder cifra los datos mediante AES-256 en el modo de cifrado por bloques CBC con relleno PKCS #7. App Builder garantiza la integridad de los datos cifrados mediante HMAC-SHA256.
El mismo cifrado y validación se pueden utilizar para proteger datos de nivel de aplicación en reposo.
App Builder admite el cifrado de datos en reposo a través de la despliegue nativa del proveedor de cifrado de datos transparente.
App Builder ahora utiliza implementaciones y algoritmos criptográficos validados por FIPS.
Sesiones
App Builder ofrece políticas de almacenamiento de sesiones configurables. De forma predeterminada, App Builder conserva la información de las sesiones en la base de datos. Los administradores pueden ver las sesiones y forzar el cierre de las sesiones de los usuarios. El seguimiento de las sesiones protege contra ciertas vulnerabilidades, como los ataques de repetición de cookies.
Seguridad basada en roles
El acceso a los datos se puede controlar mediante seguridad basada en roles. La pertenencia a un grupo determina los roles de un usuario, que determinan su permiso para acceder a los datos empresariales. Los grupos organizan a los usuarios y los roles, a los permisos.
En App Builder, los dominios permiten a los administradores delegar tareas administrativas, como el aprovisionamiento de usuarios y la pertenencia a grupos. Estas operaciones se limitan al dominio.
Enlaces relacionados
Temas de seguridad
- Acceso anónimo
- Reclamos
- Caducidad de la contraseña
- Políticas de contraseña
- Restablecer contraseña
- Privilegios y permisos
- Proveedores e identidades
- Reinos
- Autoservicio
- Sesiones
- Usuarios y grupos
- Aprovisionamiento de usuarios y grupos
- Autenticación del cliente