Resumen de seguridad para Jitterbit App Builder
Resumen
App Builder promueve el desarrollo rápido de aplicaciones seguras junto con su capacidad para ser desplegadas rápidamente en un entorno seguro. Las características de seguridad nativas y las opciones de configuración disponibles dentro de la plataforma App Builder permiten a los desarrolladores configurar y asegurar sus aplicaciones.
App Builder admite las siguientes opciones de seguridad:
HTTPS
App Builder exige HTTPS. Cuando HTTPS está habilitado, las cookies se establecen con la bandera Secure. Esto evita que el navegador transmita la cookie a través de un canal no seguro (HTTP). Las cookies se establecen con la bandera HttpOnly por defecto. La bandera HttpOnly mitiga los ataques de Cross-Site Scripting (XSS).
Proveedor de inicio de sesión único (SSO)
App Builder recomienda delegar la autenticación a un proveedor de Inicio de Sesión Único (SSO). App Builder admite varios estándares de la industria, incluyendo SAML SSO y WS-Federation. Estos utilizan la especificación de firma digital PKCS #1 con resúmenes SHA-256.
Autenticación basada en claims
Los proveedores de autenticación de usuarios envían claims a App Builder. Los administradores de seguridad asignan los claims a atributos de usuario, incluyendo la membresía en grupos. Documentación:
Autenticación local y configuración de contraseñas
App Builder también admite un mecanismo de autenticación local basado en contraseñas. El almacenamiento de contraseñas está documentado en la siguiente página:
En resumen, las contraseñas se almacenan utilizando la función de derivación de clave PBKDF2 con el algoritmo de hash SHA-256, una longitud de clave de 16 bytes, una longitud de sal de 16 bytes y 10,000 iteraciones.
El proveedor de Autenticación Local admite las siguientes características de seguridad:
Tokens de seguridad y cifrado de datos
App Builder cifra y valida tokens de seguridad, como las cookies de sesión. Además, App Builder cifra las credenciales del servidor y del proveedor de seguridad (contraseñas). El cifrado proporciona confidencialidad; la validación, autenticidad (también conocida como protección contra manipulaciones). App Builder cifra datos utilizando AES-256 en el modo de cifrado de bloques CBC con relleno PKCS #7. App Builder asegura la integridad de los datos cifrados utilizando HMAC-SHA256.
El mismo cifrado y validación se pueden utilizar para proteger los datos a nivel de aplicación en reposo.
App Builder admite el cifrado de datos en reposo a través de la implementación nativa del proveedor de Cifrado de Datos Transparente.
App Builder ahora utiliza implementaciones y algoritmos criptográficos validados por FIPS.
Sesiones
App Builder proporciona políticas de almacenamiento de sesiones configurables. Por defecto, App Builder persiste la información de sesión en la base de datos. Los administradores pueden ver las sesiones y forzar el cierre de sesión de los usuarios. El seguimiento de sesiones protege contra ciertas vulnerabilidades, como los ataques de repetición de cookies.
Seguridad basada en roles
El acceso a los datos se puede controlar utilizando seguridad basada en roles. La pertenencia a un grupo de un usuario determina los roles del usuario. Los roles del usuario determinan el permiso para acceder a los datos empresariales. Los grupos organizan a los usuarios; los roles organizan los permisos.
En App Builder, los reinos permiten a los administradores delegar tareas administrativas como la provisión de usuarios y la pertenencia a grupos. Estas operaciones están restringidas al reino.
Enlaces relacionados
Temas de seguridad
- Acceso anónimo
- Reclamaciones
- Expiración de contraseñas
- Políticas de contraseñas
- Restablecimiento de contraseñas
- Privilegios y permisos
- Proveedores e identidades
- Reinos
- Autoservicio
- Sesiones
- Usuarios y grupos
- Provisión de usuarios y grupos
- Autenticación del cliente