App Builder visão Geral de Segurança¶
Visão Geral¶
App Builder promove o rápido desenvolvimento de aplicativos seguros, juntamente com sua capacidade de serem rapidamente implantados em um ambiente seguro. Recursos de segurança nativos e opções de configuração disponíveis dentro do App Builder plataforma permite que os desenvolvedores configurem e protejam seus aplicativos.
App Builder suporta as seguintes opções de segurança:
HTTPS¶
App Builder exige HTTPS. Quando HTTPS está habilitado, os cookies são definidos com o sinalizador Secure. Isso impede que o navegador transmita o cookie por um canal não seguro (HTTP). Os cookies são definidos com o sinalizador HttpOnly por padrão. O sinalizador HttpOnly atenua ataques Cross-Site Scripting (XSS).
Provedor de Logon Único (sso)¶
App Builder recomenda delegar autenticação a um provedor de Single Sign-On (SSO). App Builder suporta vários padrões da indústria, incluindo SAML SSO e WS-Federation. Eles usam a especificação de assinatura digital PKCS #1 com resumos SHA-256.
Autenticação Baseada em Declarações¶
Os provedores de autenticação de usuário passam as reivindicações para App Builder. Os administradores de segurança mapeiam as reivindicações para atributos do usuário, incluindo associação ao grupo. Documentação:
Autenticação Local e Configuração de Senha¶
App Builder também suporta um mecanismo de autenticação local baseado em senha. O armazenamento de senhas é documentado na seguinte página:
Resumindo, as senhas são armazenadas usando a função de derivação de chave PBKDF2 com o algoritmo de hash SHA-256, um comprimento de chave de 16 bytes, um comprimento de salt de 16 bytes e 10.000 iterações.
O provedor de Autenticação Local oferece suporte aos seguintes recursos de segurança:
Tokens de Segurança e Criptografia de Dados¶
App Builder criptografa e valida tokens de segurança, como cookies de sessão. Além disso, App Builder criptografa credenciais de servidor e provedor de segurança (senhas). A criptografia fornece confidencialidade; validação, autenticidade (também conhecida como proteção contra adulteração). App Builder criptografa dados usando AES-256 no modo de cifra de bloco CBC com preenchimento PKCS #7. App Builder garante a integridade dos dados criptografados usando HMAC-SHA256.
A mesma criptografia e validação podem ser usadas para proteger dados em nível de aplicativo em repouso.
App Builder oferece suporte à criptografia de dados em repouso por meio da implementação nativa do fornecedor de Transparent Data Encryption.
App Builder agora usa implementações e algoritmos criptográficos validados por FIPS.
Sessões¶
App Builder fornece políticas de armazenamento de sessão configuráveis. Por padrão, App Builder persiste informações de sessão no banco de dados. Os administradores podem visualizar sessões e forçar o logout de sessões de usuários. O rastreamento de sessões protege contra certas vulnerabilidades, como ataques de cookie-replay.
Segurança Baseada em Funções¶
O acesso aos dados pode ser controlado usando segurança baseada em funções. A associação de grupo de um usuário determina as funções do usuário. As funções do usuário determinam a permissão para dados comerciais. Grupos organizam usuários; funções organizam permissões.
Em App Builder, os realms permitem que os administradores deleguem tarefas administrativas, como provisionamento de usuários e associação a grupos. Essas operações são restritas ao realm.
Links Relacionados¶
Tópicos de Segurança¶
- Acesso anônimo
- Reivindicações
- Expiração da senha
- Políticas de senha
- Redefinição de senha
- Privilégios e permissões
- Provedores e identidades
- Reinos
- Self-service
- Sessões
- Usuários e grupos
- Provisionamento de usuários e grupos
- Autenticação do cliente