Saltar al contenido

Aprovisionamiento de usuarios y grupos en Jitterbit App Builder

App Builder admite el aprovisionamiento automatizado de usuarios y grupos. El aprovisionamiento reduce la carga administrativa al minimizar la creación manual de usuarios y grupos dentro de App Builder.

Estrategias de aprovisionamiento

Las estrategias de aprovisionamiento se dividen en una de dos categorías:

  1. Just-In-Time (JIT) - Las cuentas de usuario se crean bajo demanda durante el proceso de inicio de sesión.
  2. APIs de Proveedor de Servicios (SP) - Los Proveedores de Identidad (IdPs) gestionan usuarios y grupos a través de APIs proporcionadas por el SP.

Cada enfoque tiene ventajas y desventajas.

Las desventajas del aprovisionamiento JIT incluyen:

  • No se pueden desaprovisionar usuarios.
  • El SP no tiene una lista completa de usuarios y grupos.
  • Los usuarios y grupos pueden desincronizarse si no tienen un identificador inmutable (como un GUID o SID).

Las desventajas de las APIs de SP incluyen:

  • La mayoría de las APIs de SP son propietarias (Salesforce, Azure, Google, etc.). Los estándares emergentes, como el Sistema para Gestión de Identidad de Dominio Cruzado (SCIM), no se implementan comúnmente.
  • Una API de SP es más complicada de configurar, a menudo requiriendo codificación personalizada.
  • Todos los usuarios deben estar registrados con el SP. Las cuentas de usuario existentes necesitan ser registradas en bloque durante la configuración inicial.

Estrategia de aprovisionamiento de App Builder

App Builder implementa el aprovisionamiento JIT a nivel del proveedor de seguridad. Cuando está habilitado, App Builder crea cuentas de usuario después de validar con éxito los tokens de seguridad (como una afirmación SAML o un código de autorización OAuth 2.0).

Al configurar el aprovisionamiento de usuarios, los administradores pueden indicar si el token de seguridad incluye la membresía de grupo. En tal caso, App Builder extraerá los grupos del token de seguridad, registrándolos dentro de App Builder y asociando al usuario con esos grupos. Tenga en cuenta que no todos los esquemas de autenticación admiten esta opción. Revise la documentación del proveedor de seguridad para obtener más información.

Como se mencionó anteriormente, la estrategia JIT no admite la desprovisión de usuarios. App Builder mitiga esta limitación al deshabilitar el inicio de sesión local. Específicamente, si la cuenta de usuario no ha sido asignada con una contraseña, el usuario no podrá iniciar sesión en App Builder directamente. Sin embargo, los administradores de seguridad necesitarán iniciar sesión en App Builder y eliminar cualquier cuenta de usuario huérfana.

Habilitando la provisión

La provisión de usuarios presupone que la autenticación se delega a un Proveedor de Identidad (IdP). Como tal, la provisión de usuarios requiere un proveedor de seguridad de autenticación, como un proveedor de Seguridad de Inicio de Sesión Único (SSO). Ejemplos incluyen SAML SSO (como Okta), WS-Federation (Microsoft Entra ID o Servicios de Federación de Active Directory) u otros proveedores de autenticación externos (por ejemplo, Salesforce).

La provisión de usuarios está deshabilitada por defecto y debe ser habilitada por un administrador de seguridad. Para habilitar la provisión de usuarios:

  1. Navega a la IDE.
  2. Haz clic en Proveedores de Seguridad.
  3. Haz doble clic en el Proveedor de Seguridad aplicable desde el panel de Autenticación de Usuarios.
  4. Haz clic en Editar en el panel de Proveedor.
  5. Marca la opción Provisión de Usuarios.
  6. Haz clic en el botón Guardar.

Mapeando identidades a usuarios existentes

Por defecto, el proceso de provisión de usuarios creará nuevas cuentas de usuario, pero no mapeará una identidad a una cuenta existente. La provisión fallará si ya existe un usuario con el nombre dado.

Si el IdP es una fuente de autoridad única y confiable, considera habilitar la opción Coincidir Usuario Existente. Esta opción permite que el proceso de provisión mapee una identidad a un usuario existente con el mismo nombre. El mapeo solo se lleva a cabo si la cuenta de usuario no tiene ya una identidad asociada con el proveedor de seguridad.

La opción Coincidir Usuario Existente está disponible después de habilitar Provisión de Usuarios.

Configurando la autorización

La provisión de usuarios es solo una parte del rompecabezas. Por defecto, las nuevas cuentas de usuario no tendrán acceso a ninguna aplicación. Para automatizar completamente el proceso de provisión, los administradores querrán asegurarse de que a los nuevos usuarios se les otorguen privilegios apropiados al iniciar sesión. Hay 4 enfoques que se pueden tomar:

  • Por defecto, los nuevos usuarios se añaden al grupo de seguridad de Usuarios. Los administradores pueden otorgar al grupo de Usuarios acceso a una o más aplicaciones. Esto generalmente no se recomienda. El grupo de seguridad de Usuarios está destinado a todos los usuarios autenticados. Como resultado, todos los usuarios autenticados tendrán acceso a las aplicaciones otorgadas, lo que puede no ser el resultado deseado. Además, App Builder es propietario del grupo de seguridad de Usuarios y puede modificar el grupo durante una actualización.
  • Crea un nuevo grupo de seguridad y habilita la opción Otorgar al Crear Usuario. Cuando Otorgar al Crear Usuario está habilitado, los usuarios recién creados se añaden automáticamente al grupo. Esto es preferible a la opción #1 porque utiliza un grupo de seguridad personalizado en lugar del grupo de Usuarios incorporado. Sin embargo, la opción Otorgar al Crear Usuario se aplica a todos los usuarios, independientemente de si se crean manualmente a través de la interfaz de usuario o se provisionan automáticamente por un proveedor de seguridad.
  • Crea un nuevo grupo de proveedor de seguridad y habilita la opción Otorgar al Crear Identidad. A diferencia de un grupo de seguridad, un grupo de proveedor de seguridad es específico para un proveedor de seguridad. Al igual que en la opción #2, los administradores necesitarán crear un grupo de seguridad y otorgarle acceso a una o más aplicaciones. Sin embargo, no habilites la opción Otorgar al Crear Usuario. En su lugar, crea un grupo de proveedor de seguridad, mapea este grupo al grupo de seguridad interno y habilita la opción Otorgar al Crear Identidad. Usando esta técnica, solo los usuarios provisionados por el proveedor de seguridad recibirán privilegios automáticamente.
  • Si el proveedor de seguridad suministra membresía de grupo, la autorización puede ser transferida desde el Proveedor de Identidad (IdP) a App Builder. App Builder extraerá las reclamaciones de membresía de grupo del token de seguridad y registrará esos grupos como grupos de proveedor de seguridad. Los administradores deben mapear uno o más grupos de proveedor de seguridad a grupos de seguridad internos. Esta opción toma más tiempo para configurarse y puede requerir configuración adicional en el Proveedor de Identidad (IdP). Sin embargo, una vez configurado, App Builder respetará la membresía de grupo suministrada por el IdP.

Las opciones 3 y 4 son mutuamente excluyentes: o el Constructor de Aplicaciones o el proveedor de seguridad pueden gestionar grupos de proveedores de seguridad, pero no ambos. Sin embargo, ambos se pueden combinar con la opción Conceder al Crear Usuario.