Visão geral de segurança para Jitterbit App Builder
Visão geral
O App Builder promove o desenvolvimento rápido de aplicações seguras, além de sua capacidade de serem rapidamente implantadas em um ambiente seguro. Recursos de segurança nativos e opções de configuração disponíveis na plataforma App Builder permitem que os desenvolvedores configurem e protejam suas aplicações.
O App Builder suporta as seguintes opções de segurança:
HTTPS
O App Builder exige HTTPS. Quando o HTTPS está habilitado, os cookies são definidos com a flag Secure. Isso impede que o navegador transmita o cookie por um canal não seguro (HTTP). Os cookies são definidos com a flag HttpOnly por padrão. A flag HttpOnly mitiga ataques de Cross-Site Scripting (XSS).
Provedor de autenticação única (SSO)
O App Builder recomenda delegar a autenticação a um provedor de Autenticação Única (SSO). O App Builder suporta vários padrões da indústria, incluindo SAML SSO e WS-Federation. Estes utilizam a especificação de assinatura digital PKCS #1 com resumos SHA-256.
Autenticação baseada em claims
Provedores de autenticação de usuários passam claims para o App Builder. Administradores de segurança mapeiam as claims para atributos de usuário, incluindo a filiação a grupos. Documentação:
Autenticação local e configuração de senha
O App Builder também suporta um mecanismo de autenticação local baseado em senha. O armazenamento de senhas está documentado na seguinte página:
Em resumo, as senhas são armazenadas usando a função de derivação de chave PBKDF2 com o algoritmo de hash SHA-256, um comprimento de chave de 16 bytes, um comprimento de sal de 16 bytes e 10.000 iterações.
O provedor de Autenticação Local suporta os seguintes recursos de segurança:
Tokens de segurança e criptografia de dados
O App Builder criptografa e valida tokens de segurança, como cookies de sessão. Além disso, o App Builder criptografa credenciais de servidor e provedores de segurança (senhas). A criptografia proporciona confidencialidade; a validação, autenticidade (também conhecida como proteção contra adulteração). O App Builder criptografa dados usando AES-256 no modo de cifra de bloco CBC com preenchimento PKCS #7. O App Builder garante a integridade dos dados criptografados usando HMAC-SHA256.
A mesma criptografia e validação podem ser usadas para proteger dados em nível de aplicativo em repouso.
O App Builder suporta a criptografia de dados em repouso por meio da implementação nativa do fornecedor de Criptografia de Dados Transparente.
O App Builder agora utiliza implementações e algoritmos criptográficos validados pelo FIPS.
Sessões
O App Builder fornece políticas de armazenamento de sessão configuráveis. Por padrão, o App Builder persiste informações de sessão no banco de dados. Os administradores podem visualizar sessões e forçar o logout de sessões de usuários. O rastreamento de sessões protege contra certas vulnerabilidades, como ataques de repetição de cookies.
Segurança baseada em funções
O acesso aos dados pode ser controlado usando segurança baseada em funções. A associação a grupos de um usuário determina as funções do usuário. As funções do usuário determinam a permissão para dados de negócios. Grupos organizam usuários; funções organizam permissões.
No App Builder, reinos permitem que administradores deleguem tarefas administrativas, como o provisionamento de usuários e a associação a grupos. Essas operações são restritas ao reino.
Links relacionados
Tópicos de segurança
- Acesso anônimo
- Reivindicações
- Expiração de senha
- Políticas de senha
- Redefinição de senha
- Privilégios e permissões
- Provedores e identidades
- Reinos
- Autoatendimento
- Sessões
- Usuários e grupos
- Provisionamento de usuários e grupos
- Autenticação do cliente