Provedor de segurança WS-Federation no Jitterbit App Builder
O provedor de segurança WS-Federation permite a autenticação de Single Sign-On (SSO) com provedores de identidade (IdPs) WS-Federation suportados, incluindo Microsoft Entra ID e Active Directory Federation Services (AD FS). Informações adicionais sobre WS-Federation estão disponíveis nos seguintes documentos:
Configuração
Tokens
- Público: Restrição de público. Embora o padrão exija um URI sintaticamente válido, o App Builder aceitará valores não-URI para integrar-se a implementações não conformes. O padrão é o ID da Entidade.
- Destinatário: URL de resposta Ws-Federation (Wreply). O padrão é a URL atual. Veja Endpoint Wreply abaixo.
- ID da Entidade: URI do domínio de segurança WS-Federation (Wtrealm). No Microsoft Azure, isso é referido como ID do App. No AD FS, isso é referido como Identificador. Obrigatório.
Precaución
Em versões anteriores do App Builder, o ID da Entidade era definido como a URL raiz da aplicação (por exemplo, https://example.com/Vinyl/). O ID da Entidade agora é obrigatório.
Endpoints
| Tipo | Descrição |
|---|---|
| Endpoint de Metadados | URL de metadados WS-Federation, por exemplo, https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml. Obrigatório. |
Propriedades
O provedor de segurança WS-Federation define os seguintes parâmetros:
| Parâmetro | Padrão | Descrição |
|---|---|---|
| IgnorarErrosTls | Falso | Indica se o App Builder deve ignorar erros de TLS ao conectar-se à URL de metadados WS-Federation. Isso deve ser usado apenas para desenvolvimento e testes. |
| DesvioDeRelógio | 5 | Número máximo de minutos permitido para relógios de servidor fora de sincronia ao validar a asserção SAML. |
| LogPII | Falso | Indica que informações pessoalmente identificáveis (PII) devem ser registradas. Essa configuração entra em vigor na inicialização. |
Claims
WS-Federation é fundamentalmente um protocolo de autenticação baseado em declarações. O provedor de segurança WS-Federation reconhece as seguintes declarações:
| Identificador | Propósito | Descrição |
|---|---|---|
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier | Identificador de Nome | Identificador único e imutável usado para mapear a identidade de terceiros a um usuário do App Builder. |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name | Nome | Nome do usuário. |
| http://schemas.xmlsoap.org/claims/Group | Grupo | Filiação a grupo de segurança. |
| http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid | Grupo | Filiação a grupo de segurança. |
| http://schemas.microsoft.com/ws/2008/06/identity/claims/groups | Grupo | Filiação a grupo de segurança. |
| http://schemas.zudy.com/identity/claims/fullname | Nome Completo | Nome completo. |
| http://schemas.zudy.com/identity/claims/displayname | Nome de Exibição | Nome amigável. |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | Endereço de Email | Endereço de email. |
| http://schemas.zudy.com/identity/claims/phonenumber | Número de Telefone | Número de telefone. |
Integração
Endpoint Wreply
O provedor de segurança WS-Federation expõe um único endpoint que escuta requisições HTTP contendo um token de segurança. O endereço tem a seguinte forma:
https://example.com/Vinyl/signin-WSFederation
A URL é composta pelas seguintes partes:
| Componente | Descrição |
|---|---|
| https://example.com/Vinyl/ | URL absoluta para o diretório raiz da aplicação App Builder. |
| WSFederation | Nome do provedor de segurança Ws-Federation codificado em URL. O valor é sensível a maiúsculas e minúsculas. |
Problemas conhecidos e limitações
O provedor de segurança WS-Federation do App Builder possui as seguintes limitações:
- Apenas uma única restrição de público pode ser validada.
- O protocolo de Logout não é suportado.