App Builder descripción General de Seguridad
Descripción General
App Builder promueve el desarrollo rápido de aplicaciones seguras junto con su capacidad de desplegarse rápidamente en un ambiente seguro. Funciones de seguridad nativas y opciones de configuración disponibles dentro de App Builder la plataforma permite a los desarrolladores configurar y proteger sus aplicaciones.
App Builder admite las siguientes opciones de seguridad:
HTTPS
App Builder exige HTTPS. Cuando HTTPS está habilitado, las cookies se configuran con el indicador Seguro. Esto evita que el navegador transmita la cookie a través de un canal no seguro (HTTP). Las cookies se configuran con el indicador HttpOnly de manera predeterminada. El indicador HttpOnly mitiga los ataques de secuencias de comandos entre sitios (XSS).
Proveedor de Inicio de Sesión Único (sso)
App Builder recomienda delegar la autenticación a un proveedor de inicio de sesión único (SSO). App Builder admite varios estándares de la industria, incluidos SAML SSO y WS-Federation. Estos utilizan la especificación de firma digital PKCS #1 con resúmenes SHA-256.
Autenticación Basada en Reclamaciones
Los proveedores de autenticación de usuarios pasan las reclamaciones a App Builder los administradores de seguridad asignan las reclamaciones a los atributos de usuario, incluida la pertenencia a grupos. Documentación:
Autenticación Local y Configuración de Contraseña
App Builder también admite un mecanismo de autenticación local basado en contraseña. El almacenamiento de contraseñas está documentado en la siguiente página:
En resumen, las contraseñas se almacenan utilizando la función de derivación de claves PBKDF2 con el algoritmo hash SHA-256, una longitud de clave de 16 bytes, una longitud de sal de 16 bytes y 10 000 iteraciones.
El proveedor de autenticación local admite las siguientes funciones de seguridad:
Tokens de Seguridad y Cifrado de Datos
App Builder encripta y valida tokens de seguridad, como cookies de sesión. Además, App Builder encripta las credenciales del servidor y del proveedor de seguridad (contraseñas). El cifrado proporciona confidencialidad, validación y autenticidad (también conocida como protección contra manipulaciones). App Builder cifra datos utilizando AES-256 en el modo de cifrado de bloque CBC con relleno PKCS #7. App Builder garantiza la integridad de los datos cifrados mediante HMAC-SHA256.
El mismo cifrado y validación se pueden utilizar para proteger datos de nivel de aplicación en reposo.
App Builder admite el cifrado de datos en reposo a través de la despliegue nativa del proveedor de cifrado de datos transparente.
App Builder ahora utiliza algoritmos e implementaciones criptográficas validadas por FIPS.
Sesiones
App Builder proporciona políticas de almacenamiento de sesiones configurables. De forma predeterminada, App Builder conserva la información de la sesión en la base de datos. Los administradores pueden ver las sesiones y forzar el cierre de las sesiones de los usuarios. El seguimiento de las sesiones protege contra ciertas vulnerabilidades, como los ataques de repetición de cookies.
Seguridad Basada en Roles
El acceso a los datos se puede controlar mediante seguridad basada en roles. La pertenencia a un grupo de un usuario determina los roles del usuario. Los roles del usuario determinan el permiso para acceder a los datos empresariales. Los grupos organizan a los usuarios y los roles organizan los permisos.
En App Builder los dominios permiten a los administradores delegar tareas administrativas, como la asignación de usuarios y la pertenencia a grupos. Estas operaciones están limitadas al dominio.
Enlaces Relacionados
Temas de Seguridad
- Acceso anónimo
- Reclamos
- Caducidad de la contraseña
- Políticas de contraseña
- Restablecer contraseña
- Privilegios y permisos
- Proveedores e identidades
- Reinos
- Autoservicio
- Sesiones
- Usuarios y grupos
- Aprovisionamiento de usuarios y grupos
- Autenticación de cliente