Aprovisionamiento de Usuarios y Grupos
App Builder admite el aprovisionamiento automático de usuarios y grupos. El aprovisionamiento reduce la carga administrativa al minimizar la creación manual de usuarios y grupos dentro de App Builder.
Estrategias de Aprovisionamiento
Las estrategias de aprovisionamiento se dividen en dos categorías:
- Just-In-Time (JIT): las cuentas de usuario se crean a pedido durante el proceso de inicio de sesión.
- APIs del proveedor de servicios (SP): los proveedores de identidad (IdP) administran usuarios y grupos a través de las APIs proporcionadas por los SP.
Cada enfoque tiene ventajas y desventajas.
Las desventajas del aprovisionamiento JIT incluyen:
- No se puede desaprovisionar a los usuarios.
- El SP no tiene una lista completa de usuarios y grupos.
- Los usuarios y grupos pueden desincronizarse si no tienen un identificador inmutable (como un GUID o SID).
Las desventajas de las APIs de SP incluyen:
- La mayoría de las APIs de SP son propietarias (Salesforce, Azure, Google, etc.). Están surgiendo estándares, como el Sistema para la Gestión de identidad entre dominios (SCIM), no se utilizan habitualmente.
- Una API SP es más complicada de configurar y a menudo requiere codificación personalizada.
- Todos los usuarios deben estar registrados en el SP. Las cuentas de usuario existentes deben registrarse en bloque durante la configuración inicial.
App Builder la Estrategia de Aprovisionamiento de
App Builder implementa el aprovisionamiento JIT a nivel del proveedor de seguridad. Cuando está habilitado, App Builder crea cuentas de usuario después de validar con éxito los tokens de seguridad (como una afirmación SAML o un código de autorización OAuth 2.0).
Al configurar el aprovisionamiento de usuarios, los administradores pueden indicar si el token de seguridad incluye la pertenencia a un grupo. En ese caso, App Builder extraerá los grupos del token de seguridad y los registrará dentro de ellos. App Builder y asociar al usuario con esos grupos. Tenga en cuenta que no todos los esquemas de autenticación admiten esta opción. Revise la documentación del proveedor de seguridad para obtener más información.
Como se indicó anteriormente, la estrategia JIT no admite la anulación de aprovisionamiento de usuarios. App Builder mitiga esta limitación al no permitir el inicio de sesión local. En concreto, si a la cuenta de usuario no se le ha asignado una contraseña, el usuario no podrá iniciar sesión. App Builder directamente. De todos modos, los administradores de seguridad deberán iniciar sesión App Builder y eliminar todas las cuentas de usuario huérfanas.
Habilitación del Aprovisionamiento
El aprovisionamiento de usuarios presupone que la autenticación se delega a un proveedor de identidad (IdP). Por lo tanto, el aprovisionamiento de usuarios requiere un proveedor de seguridad de autenticación, como un proveedor de seguridad de inicio de sesión único (SSO). Algunos ejemplos incluyen SAML SSO (como Okta), WS-Federation (Azure Active Directory o Active Directory Federation Services) u otros proveedores de autenticación externos (por ejemplo, Salesforce).
El aprovisionamiento de usuarios está deshabilitado de forma predeterminada y debe ser habilitado por un administrador de seguridad. Para habilitar el aprovisionamiento de usuarios:
- Navegue hasta el IDE.
- Haga clic en Proveedores de seguridad.
- Haga doble clic en el proveedor de seguridad correspondiente desde el panel Autenticación de usuario.
- Haga clic en Editar en el panel Proveedor.
- Marque la opción Aprovisionamiento de usuarios.
- Haga clic en el botón Guardar.
Asignación de Identidades a Usuarios Existentes
De manera predeterminada, el proceso de aprovisionamiento de usuarios creará nuevas cuentas de usuario, pero no asignará una identidad a una cuenta existente. El aprovisionamiento fallará si existe un usuario con el nombre indicado.
Si el IdP es una fuente de autoridad única y confiable, considere habilitar la opción Coincidir con usuario existente. Esta opción permite que el proceso de aprovisionamiento asigne una identidad a un usuario existente con el mismo nombre. La asignación solo se lleva a cabo si la cuenta de usuario aún no tiene una identidad asociada con el proveedor de seguridad.
La opción Coincidir con usuario existente está disponible después de habilitar Aprovisionamiento de usuarios.
Configurar la Autorización
El aprovisionamiento de usuarios es solo una parte del rompecabezas. De manera predeterminada, las nuevas cuentas de usuario no tendrán acceso a ninguna aplicación. Para automatizar por completo el proceso de aprovisionamiento, los administradores querrán asegurarse de que los nuevos usuarios tengan los privilegios adecuados al iniciar sesión. Hay cuatro enfoques que se pueden adoptar:
- De manera predeterminada, los nuevos usuarios se agregan al grupo de seguridad Usuarios. Los administradores pueden otorgarle acceso al grupo Usuarios a una o más aplicaciones. Esto generalmente no se recomienda. El grupo de seguridad Usuarios está destinado a todos los usuarios autenticados. Como resultado, todos los usuarios autenticados tendrán acceso a las aplicaciones otorgadas, lo que puede no ser el resultado deseado. Además, App Builder es el propietario del grupo de seguridad Usuarios y puede modificarlo durante una actualización.
- Cree un nuevo grupo de seguridad y habilite la opción Otorgar al crear usuario. Cuando se habilita Otorgar al crear usuario, los usuarios recién creados se agregan al grupo automáticamente. Esta opción es preferible a la #1 porque utiliza un grupo de seguridad personalizado en lugar del grupo Usuarios integrado. Sin embargo, la opción Otorgar al crear usuario se aplica a todos los usuarios, independientemente de si se crean manualmente a través de la interfaz de usuario o si se aprovisionan automáticamente por un proveedor de seguridad.
- Cree un nuevo grupo de proveedores de seguridad y habilite la opción Otorgar al crear identidad. A diferencia de un grupo de seguridad, un grupo de proveedores de seguridad es específico de un proveedor de seguridad. Al igual que en la opción #2, los administradores deberán crear un grupo de seguridad y otorgarle acceso a una o más aplicaciones. Sin embargo, no habilite la opción Otorgar al crear usuario. En su lugar, cree un grupo de proveedores de seguridad, asígnelo al grupo de seguridad interno y habilite la opción Otorgar al crear identidad. Con esta técnica, solo los usuarios aprovisionados por el proveedor de seguridad recibirán privilegios automáticamente.
- Si el proveedor de seguridad proporciona membresía de grupo, la autorización puede ser transmitida desde el Proveedor de Identidad (IdP) a App Builder. App Builder extraerá las reclamaciones de membresía de grupo del token de seguridad y registrará esos grupos como grupos de proveedores de seguridad. Los administradores deben asignar uno o más grupos de proveedores de seguridad a grupos de seguridad internos. Esta opción lleva más tiempo de configuración y puede requerir una configuración adicional en el proveedor de identidad (IdP). Sin embargo, una vez configurada, App Builder respetará la membresía del grupo proporcionada por el IdP.
Las opciones 3 y 4 son mutuamente excluyentes: App Builder o el proveedor de seguridad puede administrar grupos de proveedores de seguridad, pero no ambos. Sin embargo, ambos pueden combinarse con la opción Otorgar al crear usuario.