Saltar al contenido

¡Transforma tus conexiones en dinero para el final del año con nuestro nuevo Programa de Indicación de Clientes! Descubre más

Esta documentación es para la versión 4 y posteriores de App Builder, el nuevo nombre de Vinyl. Accede a la documentación de Vinyl aquí.

Aprovisionamiento de usuarios y grupos en Jitterbit App Builder

App Builder permite el aprovisionamiento automatizado de usuarios y grupos. El aprovisionamiento reduce la carga administrativa al minimizar la creación manual de usuarios y grupos dentro de App Builder.

Estrategias de aprovisionamiento

Las estrategias de aprovisionamiento se dividen en dos categorías:

  1. Just-In-Time (JIT): las cuentas de usuario se crean a pedido durante el proceso de inicio de sesión.
  2. APIs de proveedor de servicios (SP): los proveedores de identidad (IdP) administran usuarios y grupos a través de las APIs proporcionadas por los SP.

Cada enfoque tiene ventajas y desventajas.

Las desventajas del aprovisionamiento JIT incluyen:

  • No es posible desaprovisionar a los usuarios.
  • El SP no tiene una lista completa de usuarios y grupos.
  • Los usuarios y grupos pueden desincronizarse si no tienen un identificador inmutable (como un GUID o SID).

Las desventajas de las APIs de SP incluyen:

La mayoría de las APIs de SP son propietarias (Salesforce, Azure, Google, etc.). Estándares emergentes, como el Sistema para la Gestión de Identidades entre Dominios (SCIM), no se utilizan habitualmente. - Una API SP es más complicada de configurar y a menudo requiere codificación personalizada. Todos los usuarios deben estar registrados en el SP. Las cuentas de usuario existentes deben registrarse en bloque durante la configuración inicial.

Estrategia de aprovisionamiento de App Builder

App Builder implementa el aprovisionamiento JIT a nivel de proveedor de seguridad. Cuando está habilitado, App Builder crea cuentas de usuario tras validar correctamente los tokens de seguridad (como una aserción SAML o un código de autorización OAuth 2.0).

Al configurar el aprovisionamiento de usuarios, los administradores pueden indicar si el token de seguridad incluye la pertenencia a grupos. En ese caso, App Builder extraerá los grupos del token de seguridad, los registrará en App Builder y asociará al usuario con ellos. Tenga en cuenta que no todos los esquemas de autenticación admiten esta opción. Consulte la documentación del proveedor de seguridad para obtener más información.

Como se mencionó anteriormente, la estrategia JIT no admite el desaprovisionamiento de usuarios. App Builder mitiga esta limitación al impedir el inicio de sesión local. En concreto, si la cuenta de usuario no tiene una contraseña asignada, el usuario no podrá iniciar sesión directamente en App Builder. En cualquier caso, los administradores de seguridad deberán iniciar sesión en App Builder y eliminar cualquier cuenta de usuario huérfana.

Habilitación del aprovisionamiento

El aprovisionamiento de usuarios presupone que la autenticación se delega a un proveedor de identidad (IdP). Por lo tanto, requiere un proveedor de seguridad de autenticación, como un proveedor de seguridad de inicio de sesión único (SSO). Algunos ejemplos incluyen SSO SAML (como Okta), WS-Federation (Microsoft Entra ID o Servicios de federación de Active Directory) u otros proveedores de autenticación externos (p. ej., Salesforce).

El aprovisionamiento de usuarios está deshabilitado de forma predeterminada y debe ser habilitado por un administrador de seguridad. Para habilitarlo:

  1. Navegue hasta el IDE.
  2. Haga clic en Proveedores de seguridad.
  3. Haga doble clic en el proveedor de seguridad correspondiente desde el panel Autenticación de usuario.
  4. Haga clic en Editar en el panel Proveedor.
  5. Marque la opción Aprovisionamiento de usuarios.
  6. Haga clic en el botón Guardar.

Asignación de identidades a usuarios existentes

De forma predeterminada, el proceso de aprovisionamiento de usuarios creará nuevas cuentas de usuario, pero no asignará una identidad a una cuenta existente. El aprovisionamiento fallará si ya existe un usuario con el nombre especificado.

Si el IdP es una fuente de autoridad única y confiable, considere habilitar la opción Coincidir con usuario existente. Esta opción permite que el proceso de aprovisionamiento asigne una identidad a un usuario existente con el mismo nombre. La asignación solo se realiza si la cuenta de usuario no tiene una identidad asociada con el proveedor de seguridad.

La opción Coincidir con usuario existente está disponible después de habilitar Aprovisionamiento de usuarios.

Configurar la autorización

El aprovisionamiento de usuarios es solo una parte del proceso. De forma predeterminada, las nuevas cuentas de usuario no tendrán acceso a ninguna aplicación. Para automatizar completamente el proceso de aprovisionamiento, los administradores deben asegurarse de que los nuevos usuarios tengan los privilegios adecuados al iniciar sesión. Hay cuatro enfoques posibles:

De forma predeterminada, los nuevos usuarios se añaden al grupo de seguridad Usuarios. Los administradores pueden concederle acceso a una o más aplicaciones. Generalmente, esto no se recomienda. El grupo de seguridad Usuarios está destinado a todos los usuarios autenticados. Por lo tanto, todos los usuarios autenticados tendrán acceso a las aplicaciones concedidas, lo cual podría no ser el resultado deseado. Además, App Builder es el propietario del grupo de seguridad Usuarios y puede modificarlo durante una actualización. Cree un nuevo grupo de seguridad y active la opción Otorgar al crear usuario. Al activar esta opción, los usuarios recién creados se añaden automáticamente al grupo. Esta opción es preferible a la 1, ya que utiliza un grupo de seguridad personalizado en lugar del grupo de usuarios integrado. Sin embargo, la opción Otorgar al crear usuario se aplica a todos los usuarios, independientemente de si se crean manualmente a través de la interfaz de usuario o si un proveedor de seguridad los proporciona automáticamente. Cree un nuevo grupo de proveedores de seguridad y active la opción Otorgar al crear identidad. A diferencia de un grupo de seguridad, un grupo de proveedores de seguridad es específico de un proveedor de seguridad. Al igual que en la opción n.º 2, los administradores deberán crear un grupo de seguridad y otorgarle acceso a una o más aplicaciones. Sin embargo, no active la opción Otorgar al crear usuario. En su lugar, cree un grupo de proveedores de seguridad, asígnelo al grupo de seguridad interno y active la opción Otorgar al crear identidad. Con esta técnica, solo los usuarios asignados por el proveedor de seguridad recibirán privilegios automáticamente. Si el proveedor de seguridad proporciona la membresía de grupo, la autorización puede transferirse del proveedor de identidad (IdP) a App Builder. App Builder extraerá las solicitudes de membresía de grupo del token de seguridad y registrará esos grupos como grupos del proveedor de seguridad. Los administradores deben asignar uno o más grupos del proveedor de seguridad a grupos de seguridad internos. Esta opción requiere más tiempo de configuración y puede requerir configuración adicional en el proveedor de identidad (IdP). Sin embargo, una vez configurada, App Builder respetará la membresía de grupo proporcionada por el IdP.

Las opciones 3 y 4 son mutuamente excluyentes: App Builder o el proveedor de seguridad pueden administrar los grupos de proveedores de seguridad, pero no ambos. Sin embargo, ambas pueden combinarse con la opción Otorgar al crear el usuario.